WordPress XSS攻击防范

1. WordPress这玩意儿用的人太多了，所以坏蛋们整天盯着呢。XSS就是常见攻击手法——简单说，黑客在你网站上插恶意脚本，用户一点就中招。比如弹个假登录框偷密码，或者偷偷转走用户的钱。下面咱们掰扯掰碎怎么防住这类阴招。

2. 先搞明白XSS咋进来的。WordPress里最容易爆雷的就是主题和插件。比如你写了个自定义搜索功能，没过滤用户输入就直接输出到页面：

// 错误示范！千万别学！
echo "您搜索的是: " . $_GET['keyword'];

黑客只要在URL里插一段<script>alert('哈哈你没了')</script>，脚本就执行了。所以第一条铁律：所有用户输入都当敌人看待！

3. 输出数据前必须消毒！WordPress自带一堆消毒函数，比如esc_html()会把HTML转义成普通文本：

// 正确姿势
echo "您搜索的是: " . esc_html( $_GET['keyword'] );

这时候再输入<script>就会变成<script>，直接显示成文字而不会执行。

4. 要是需要输出HTML呢？比如评论区允许用有限的标签。可以用wp_kses()像筛子一样只放行安全标签：

$allowed_html = array(
    'a' => array( 'href' => array() ),
    'br' => array()
);
echo wp_kses( $user_content, $allowed_html );

这样即使用户输入<script>...</script><a href="">链接</a>，最后只剩个安全链接。

5. 非打印数据也要防！比如把用户输入塞进JavaScript变量里：

// 还是危险操作！
var userData = '<?php echo $_GET["data"]; ?>';

黑客可以输入'; alert(1);// 直接把代码拆了。这时候要用wp_json_encode()转义：

var userData = <?php echo wp_json_encode( $_GET['data'] ); ?>;

自动给你加引号和转义特殊字符，稳得一批。

6. 设置HTTP头是第二道防线。在wp-config.php里加这行强制浏览器严格解析内容：

define( 'FORCE_SSL_ADMIN', true );
header( "Content-Security-Policy: default-src 'self'" );

这样即使有脚本被注入，浏览器也会阻止执行。不过配置CSP策略要小心，别把自己网站功能拦住了。

7. 定期更新是废话但必须唠。WordPress核心团队天天修漏洞，但很多人懒得点更新。顺便检查插件评价——如果一个插件两年没更新，装它等于开门揖盗。

8. 最后整个实战例子：假设要做个公告栏功能，允许管理员输入HTML内容。保存到数据库前要消毒：

update_option( 'announcement', 
    wp_kses_post( $_POST['announcement'] ) 
);

输出时再用一次wp_kses_post()双重保险。别看啰嗦，安全就是反复拧螺丝的活儿。

总之XSS防御就三板斧：输入检查、输出转义、权限控制。WordPress工具都给备齐了，就看用不用。别总想着“我这小站没人搞”，黑客都是机器人扫射，才不管你是官网还是个人博客。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。